New “CRON#TRAP” Campaign Exploits Emulated Linux Environments to Evade Detection
2024/11/06 SecurityOnline — Securonix 脅威調査チームが検出したのは、”CRON#TRAP” と呼ばれる高度なマルウェア・キャンペーンの存在である。このキャンペーンは、軽量のエミュレートされた Linux 環境内で攻撃を仕掛けるものである。人気のオープンソース仮想化ソフトウェア QEMU などの、正規のツールを悪用する攻撃者は、セキュリティ対策を回避し、正規のソフトウェアを使用しているように見せかけ、悪意のアクティビティの存在を隠し続ける。
Continue reading “Linux のエミュレート環境が標的:“CRON#TRAP” キャンペーンの巧妙な検出回避術とは?”Beyond VPNs and Botnets: Understanding the Danger of ORB Networks
2024/11/05 SecurityOnline — 最近の Team Cymru の S2 研究チームは、サイバーセキュリティ分野で拡大している脅威である、ORB (Operational Relay Box) ネットワークにフォーカスしている。VPN と Botnet のハイブリッドとして定義される ORB ネットワークは、攻撃の難読化における新たなレベルの洗練を示し、それを悪用する脅威アクターたちは、強化された匿名性と回復力で活動を継続している。このレポートは、「ORB ネットワークは、隠蔽/メッシュ/難読化ネットワークであり、回避手法を継続的に改良する脅威アクターたちの間で、その普及の度合いを増している」と指摘している。
Continue reading “VPN/Botnet を組み合わせた脅威:きわめて危険な ORB (Operational Relay Box) とは?”EDRsandblast Exploited: How Attackers are Weaponizing Open-Source Code
2024/11/03 SecurityOnline — Unit 42 の研究者たちが発見したのは、最近に発生した EDR (endpoint detection and response) 回避において、脅威アクターたちが使用していた、新たなツール・キットの存在である。この調査では、EDR 防御を回避するために攻撃者が用いた、戦術が明らかになっただけではなく、攻撃を背後で操る1人の脅威アクターの、身元に関する重大な発見にもつながった。
Continue reading “Cortex XDR を回避する脅威アクター:痛恨のミスにより暴露されたツールキットと戦略”PythonRatLoader: The Malware Loader That’s Turning Phishing Into a Multi-Stage Attack
2024/11/01 SecurityOnline — Cofense Phishing Defense Center (PDC) の最近レポートは、XWorm/VenomRAT/AsyncRAT/DCRat などの各種の RAT (Remote Access Trojans) を配布する、高度なマルウェア・ローダー “PythonRatLoader” に関するものだ。このローダーは、エンタープライズ環境に対して複雑かつ有害な攻撃を仕掛けるために、多層的な難読化と回避技術を採用しており、キャンペーンの標的となるあらゆる組織に深刻なリスクをもたらすものだと、PDC の Adam Martin と Kian Buckley Maher は述べている。
Continue reading “PythonRatLoader という新たなマルウェア・ローダー:フィッシングから多段階攻撃を展開”Uncovering a New Persistence Technique: TypeLib Hijacking with Explorer.exe
2024/10/30 SecurityOnline — MTS Innovation Center CICADA8 チームの Michael Zhmailo により、永続化のための新しい方法が発見された。この方法は、Windows COM (Component Object Model) システム内の TypeLib ライブラリをハイジャックし、explorer.exe などのプロセスを具体的にターゲットにして、ステルス性の高い永続的なコード実行を実現するものだ。
Continue reading “新しい永続化の手法を発見:Windows Explorer.exe の TypeLib をハイジャック”Russian hackers deliver malicious RDP configuration files to thousands
2024/10/30 HelpNetSecurity — ロシア対外情報局 (SVR) と関連があるとされる、サイバースパイ集団の Midnight Blizzard は、署名された RDP コンフィグ・ファイルを取り込んだフィッシング・メールで、政府/学術/防衛/NGO 関係者を標的にしている。Microsoft の脅威アナリストたちは、「Midnight Blizzard のスピアフィッシング・キャンペーンに関する以前の調査に基づけば、この作戦の目的は、おそらく情報収集であると推測される」と述べている。
Continue reading “悪意の RDP コンフィグを展開するロシアの Midnight Blizzard:Microsoft と AWS が警告”Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code
2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。
Dutch Police Disrupt Major Info Stealers RedLine and MetaStealer in Operation Magnus
2024/10/29 TheHackerNews —オランダ国家警察が発表したのは、2つの情報窃取ツールである RedLine/ MetaStealer を動かすインフラを、各国のパートナーと共にテイクダウンしたことだ。2024年10月28日に行われた、このテイクダウンは、コードネーム Operation Magnus の成果であり、国際的な法執行機関のタスクフォースに、米国/英国/ベルギー/ポルトガル/オーストラリアの当局が参加した結果でもある。
Continue reading “情報窃取マルウェア RedLine/MetaStealer:国際協調 Operation Magnus がテイクダウン”Chinese Hackers Use CloudScout Toolset to Steal Session Cookies from Cloud Services
2024/10/28 TheHackerNews — 中国の脅威アクター Evasive Panda に標的とされた台湾の政府機関と宗教団体が、未知のポスト・コンプロマイズ・ツールセットである、CloudScout という名の文書化されていないマルウェアに感染したことが判明した。ESET のセキュリティ研究者である Anh Ho は、「CloudScout ツールセットは、盗み出された Web セッション・クッキーを悪用することで、様々なクラウド・サービスからデータを取得している。さらに、Evasive Panda の代表的なマルウェア・フレームワークである MgBot と、プラグインを介してシームレスに連携する」と説明している。
Chrome’s App-Bound Encryption Cracked: Open-Source Tool Bypasses Security Measure
2024/10/27 SecurityOnline — Chrome の App-Bound Encryption で保護されたキーの復号を、新しくリリースされたオープンソース・ツールが成功させたことで、このセキュリティ機能の長期的な有効性について懸念が高まっている。Google Chrome のバージョン 127 で導入された App-Bound Encryption (ABE) は、復号機能を特定のアプリケーションにリンクすることで、ユーザーのセキュリティを強化することを目的としている。それにより、Cookie/パスワード/支払い情報などの機密データへの、悪意のプログラムによるアクセスを防止している。
Continue reading “Chrome の App-Bound Encryption がクラックされた:OSS のツールが GitHub で提供”Fake CAPTCHA Pages Used by Lumma Stealer to Spread Fileless Malware
2024/10/22 HackRead — Qualys TRU (Threat Research Unit) が公表したのは、MaaS (Malware-as-a-Service) モデルとして提供されるマルウェア Lumma Stealer が、ユーザーを欺くための手口を大幅に進化させていることだ。Qualys が HackRead に共有した調査結果は、偽の CAPTCHA ページを使用してユーザーを騙して永続的なペイロードを実行させる、アクティブな Lumma Stealer キャンペーンに関するものだ。この攻撃は、複数のステップで構成され、ファイルレス技術を用いる、巧妙かつ持続的なものとなっている。
Continue reading “Lumma Stealer マルウェア:偽の CAPTCHA ページを使用してペイロードを実行”VOIDMAW: A New Bypass Technique for Memory Scanners
2024/10/21 SecurityOnline — マルウェア検出技術が進化するにつれ、それらの回避を試みる、攻撃者たちの手法も進化している。そのような手法の1つである VOIDMAW とは、悪意のコードを巧妙に隠蔽してアンチウイルス・ソフトウェアを回避する、革新的なメモリ・スキャン・バイパス技術のことである。VOIDMAW は、マルチスレッド・ペイロードをサポートし、すべての C2 (Command-and-Control) ビーコンと互換性があり、さらに、 .NET 以外のバイナリ・ファイルも実行できるため、攻撃者にとって強力なツールとなる。
Continue reading “VOIDMAW というテクノロジー:メモリス・キャナーに対する新たなバイパス手法を提示”ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS
2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome/Google Meet/Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。
Continue reading “Google Meet アラートを偽装:ClickFix 攻撃によるマルウェア配信が蔓延”North Korean Hackers Exploit Zero-Day Flaw (CVE-2024-38178) in “Operation Code on Toast”
2024/10/16 SecurityOnline — Microsoft Internet Explorer (IE) の脆弱性 CVE-2024-38178 が、北朝鮮のハッカーたちにより積極的に悪用されていることが、AhnLab Security Emergency response Center (ASEC) と National Cyber Security Center (NCSC) の共同レポートにより判明した。 この攻撃は Operation Code on Toast と呼ばれ、時代遅れの Toast 広告プログラムのユーザーをターゲットにして、マルウェアを配信している。
Continue reading “Internet Explorer (IE) の脆弱性 CVE-2024-38178 を悪用:北朝鮮の TA-RedAnt とは?”EDRSilencer: The Red Team Tool Turned Cybercriminal Weapon
2024/10/15 SecurityOnline — EDR (Endpoint Detection and Response) ソリューションを妨害するように設計された、レッドチーム・ツール EDRSilencer に関連する問題が、Trend Micro の Threat Hunting Team により発見された。もともとは、EDR システムの脆弱性を特定/解決する、セキュリティ専門家たちを支援するために設計されたツールであるが、現在ではサイバー犯罪者が検出を回避するために、また、秘密裏に攻撃を実行するために再利用されている。
Continue reading “EDRSilencer の武器化:脅威アクターが変容させたレッドチーム・ツールに要注意”Sonatype Reports 156% Increase in OSS Malicious Packages
2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。
Continue reading “オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査”OpenAI Blocks 20 Global Malicious Campaigns Using AI for Cybercrime and Disinformation
2024/10/10 TheHackerNews — 10月9日に OpenAI が発表したのは、同社のプラットフォームをグローバルで悪用する、20件以上の悪意のアクティビティとネットワークを、2024年に入ってから阻止したというメッセージである。阻止された悪質な活動として挙げられるのは、マルウェアのデバッグ/悪意の Web サイト記事執筆/悪意の SNS アカウント経歴の作成/X の偽アカウント用の AI 生成プロフィール画像の作成などである。
Continue reading “OpenAI を悪用するサイバー犯罪と偽情報拡散:20件以上の悪意のキャンペーンを阻止”DNS Tunneling: The Hidden Threat Exploited by Cyberattackers
2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ/レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。
Continue reading “DNS Tunneling キャンペーン:Palo Alto Unit42 が発見した検出回避と攻撃の方式とは?”New MS-SQL Server Attack Campaign Leverages GotoHTTP for Remote Access
2024/10/05 SecurityOnline — セキュリティ保護されていないアカウントと脆弱なパスワードを狙う、MS SQL Server に対する新しい攻撃が、AhnLab Security Intelligence Center (ASEC) の専門家たちにより発見された。この悪意のキャンペーンで攻撃者は、正規のリモート管理ツール GotoHTTP を使用しているが、この種のオペレーターでが悪用されるのは、きわめて稀なツールである。
Continue reading “MS SQL Server に対する新たな攻撃キャンペーン:GotoHTTP でリモート・アクセスを狙っている”New Linux Malware ‘Perfctl’ Targets Millions by Mimicking System Files
2024/10/03 HackRead — Linux における 20,000 を超えるミスコンフィグを悪用して、世界中で数百万人を標的にする新たなマルウェアが、Aqua Nautilus のサイバー・セキュリティ研究者たちにより発見された。しばらくの間、このマルウェアは潜伏していたようだが、最近になって Nautilus のハニーポットを攻撃したことで、あらゆる Linux サーバを危険にさらす可能性の脅威として検出され、調査の機会が生まれた。
Continue reading “Perfctl という洗練された Linux マルウェアを検出:Polkit の CVE-2021-4043 を悪用?”Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool
2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモート アクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。
Continue reading “Visual Studio Code を悪用する攻撃を検出:Remote-Tunnels エクステンションで C2 通信”Hackers deploy AI-written malware in targeted attacks
2024/09/24 BleepingComputer — フランス語圏のユーザーを標的とするメール・キャンペーンで発見された、AsyncRAT マルウェアを配信する悪意のコードは、生成 AI サービスで作成されたと考えられている。生成 AI 技術は、サイバー犯罪者らにより、説得力のあるメールの作成に悪用されてきた。しかし、ベンダーが実装した保護策や制限にもかかわらず、AI ツールは悪意のソフトウェアの作成に悪用されていると、複数の政府機関が警告を発している。
Continue reading “AsyncRAT マルウェア:AI が生成する PowerShell スクリプトで配信”Necro Trojan Infects Google Play Apps With Millions of Downloads
2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた2つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で1億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。
Continue reading “Google Play に潜む Necro というトロイの木馬:著名なアプリを感染させてユーザーを狙う”CVE-2023-48788 Exploited: Researcher Details Cyberattacks on Fortinet EMS
2024/09/19 SecurityOnline — Fortinet FortiClient EMS の脆弱性に対する、サイバー犯罪者による悪用を詳述するレポートが、Darktrace のサイバーセキュリティ研究者から発表された。同レポートでは、特に CVE-2023-48788 という重大な脆弱性に焦点を当て、さまざまな環境で観測された巧妙な攻撃チェーンと悪用後の戦術の概要が詳述されている。エンドポイント・セキュリティの集中管理に広く使用されている、FortiClient EMS に存在する SQLインジェクション脆弱性 CVE-2023-48788 は、は、CVSS スコア 9.8 と評価されている。
Continue reading “Fortinet EMS の脆弱性 CVE-2023-48788:悪用に関する詳細が公開 – Darktrace”Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC
2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信/電力/政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。
Continue reading “Earth Baxia サイバー・スパイ:GeoServer の CVE-2024-36401 を武器にして APAC を狙う”Device detonations reveal ‘incredible’ intelligence abilities: ex-NSA chief
2024/09/19 NextGov — ヒズボラの数千台ものデバイスが爆発したことについて、9月19日 (水) に元 NSA 長官が語ったことは、イスラエルの驚くべき情報収集能力を示すと同時に、世界のサプライチェーンが抱える潜在的な脆弱性を浮き彫りにするものだ。National Security Agency 局長と、U.S. Cyber Command 指揮官を歴任してきた Paul Nakasone は、「犯人たちは、標的を定めて情報収集する驚くべき能力を持ち、実際にデバイスのシリアル番号を把握し、それを保有する人物と、それが使用される周期を掌握していた」と語っている。
Continue reading “ヒズボラの通信デバイスを爆発させた組織:その驚異的な諜報能力とは? – 元 NSA 長官”New Linux Malware Campaign Exploits Oracle Weblogic to Mine Cryptocurrency
2024/09/13 TheHackerNews — Linux 環境を標的にして、不正な暗号通貨マイニングを実行する、新たなマルウェア・キャンペーンが発見された。クラウドセキュリティ企業 Aqua によると、特に Oracle Weblogic サーバを標的とするアクティビティは、Hadooken と呼ばれるマルウェアを配信するようだ。Aqua のセキュリティ研究者である Assaf Moran は、「Hadooken が実行されると、Tsunami マルウェアがドロップされ、暗号マイナーが展開される」と説明している。
Continue reading “Oracle Weblogic を悪用する Linux マルウェア・キャンペーン:暗号通貨マイナーを展開”Hackers target Apache OFBiz RCE flaw CVE-2024-45195 after PoC exploit released
2024/09/12 SecurityOnline — Apache OFBiz の脆弱性 CVE-2024-45195 が明らかになった以降において、4,000 の固有サイトを標的とする、25,000 件を超える悪意のあるリクエストが検出されたと、Imperva のレポートが指摘している。これらの攻撃は、主に金融サービス業界 (FSI) とビジネス部門を標的としており、悪意のボットと Go で書かれたカスタムのエクスプロイト・ツールで脆弱なシステムを探った後に、脆弱性を悪用しているとのことだ。この脆弱性の悪用に成功した攻撃者は、マルウェアの展開や機密データの窃取などを達成し、業務を妨害している。
Continue reading “Apache OFBiz の RCE 脆弱性 CVE-2024-45195:PoC リリース後の積極的な攻撃を観測”Fileless Remcos RAT Campaign Leverages CVE-2017-0199 Flaw
2024/09/12 SecurityOnline — 新たに発見された高度なマルウェア攻撃では、複雑なファイルレスのアプローチが用いられ、無害に見える Excel ドキュメントが攻撃ベクターとなり、Remcos RAT が配信されている。Trellix の研究者たちが分析した攻撃では、従来から痕跡とされてきた悪意のファイルを残すことなく、サイバー犯罪者が検出を回避してシステムへと侵入する戦術を、改良し続けていることが判明した。
Continue reading “Remcos RAT のファイルレス攻撃:脆弱性 CVE-2017-0199 の悪用を日本でも観測”CVE-2024-30051: Windows Elevation of Privilege Flaw Exploited by QakBot Malware, PoC Published
2024/09/09 SecurityOnline — Windows のゼロデイ脆弱性 CVE-2024-30051 (CVSS:7.8) に対する、技術的な詳細 と PoC エクスプロイト・コードが、セキュリティ研究者たちにより公開された。この深刻なな脆弱性は、Desktop Window Manager (DWM) コア・ライブラリのヒープバッファ・オーバーフローにより引き起こされる。この脆弱性の悪用に成功した攻撃者は、SYSTEM レベルの特権で任意のコードを実行し、QakBot などのペイロード展開と、マルウェア攻撃を仕掛ける可能性を手にする。
Continue reading “Windows のゼロデイ脆弱性 CVE-2024-30051:QakBot マルウェアの展開と PoC の公開”Payment gateway data breach affects 1.7 million credit card owners
2024/09/09 BleepingComputer — 決済ゲートウェイ・プロバイダーである Slim CD は、約 170万人分のクレジットカード情報と個人データが奪われるという、データ侵害について明らかにした。同社は、影響を受けた顧客に送付した通知の中で、2023年8月〜2024年6月の1年近くにわたってハッカーがネットワークにアクセスしていたと述べている。Slim CD は、決済処理ソリューションのプロバイダーであり、Web/モバイル/デスクトップのアプリを介して、ユーザー企業に対して電子決済やカード決済を提供している。
Continue reading “Slim CD から 170万人分のクレカ情報が流出:決済ゲートウェイが遭遇した侵害とは?”Critical GeoServer Vulnerability Exploited in Global Malware Campaign
2024/09/06 HackRead — GeoServer に発見された致命的な脆弱性 CVE-2024-36401 (CVSS:9.8) だが、その悪用に成功した攻撃者に対して、マルウェアの展開/クリプトジャッキング/ボットネット攻撃のためのにステム制御を許すものとして懸念されている。ユーザーに対して推奨されるのは、GeoServer を最新バージョンに更新し、保護を維持することである。FortiGuard Labs の Threat Research チームが発見したのは、GeoServer の 2.23.6/2.24.4/2.25.2 未満に存在する脆弱性 CVE-2024-36401 が、攻撃者たちに積極的に悪用されているという状況である。この深刻な脆弱性を悪用する攻撃者たちは、脆弱なシステムをリモートから制御し、さまざまな悪意のアクションを実行する可能性を手にする。
Continue reading “GeoServer の脆弱性 CVE-2024-36401 が FIX:マルウェアの展開などに悪用されている”Red Teaming Tool Abused for Malware Deployment
2024/09/04 InfoSecurity — レッドチームの演習用ツールである MacroPack が、マルウェアの展開に悪用されていることが、Cisco Talos の調査により判明した。Cisco Talos の研究者たちが発見したのは、2024年5月〜7月に VirusTotal にアップロードされた、悪意の Microsoft 文書群である。それら全ては、MacroPack と呼ばれるペイロード・ジェネレータ・フレームワークにより生成されたものだった。これらの文書は、中国/パキスタン/ロシア/米国などの国々の脅威アクターからアップロードされていた。
Continue reading “レッドチーム演習ツール MacroPack:複数の脅威アクターがマルウェア展開に悪用”Cyberattackers Spoof Palo Alto VPNs to Spread WikiLoader Variant
2024/09/04 DarkReading — サイバー犯罪者たちは、Palo Alto の VPN (virtual private network) ソフトウェアである GlobalProtect の販売者になりすまし、SEO (search engine optimization) ポイズニングを通じて WikiLoader マルウェアの新しい亜種を配信している。
Continue reading “WikiLoader マルウェア:Palo Alto VPN 販売を装う犯罪者が配信”RomCom Group’s Underground Ransomware Exploits Microsoft Zero-Day Flaw
2024/09/03 SecurityOnline — ロシアを拠点とする RomCom (別名 Storm-0978) に関連する、新たなランサムウェアの亜種である Underground が、FortiGuard Labs により発見された。このマルウェアは、被害者の Windows マシン上のファイルを暗号化し、復号化のための身代金を要求するものだ。Underground は 2023年7月から活動しており、建設/製薬/銀行/製造などの、様々な分野を標的にしている。
Continue reading “Microsoft のゼロデイ CVE-2023-36884:新種のランサムウェア Underground の展開で悪用”Travelers Targeted: Booking.com Phishing Scam Unveiled
2024/09/03 SecurityOnline — オンライン旅行予約プラットフォームの Booking.com を標的とする、巧妙なフィッシング・キャンペーンについて詳述されたレポートが、OSINTMATTER から公開された。この攻撃は、ホテル支配人のアカウントの侵害から始まり、Booking.com のアプリを通じてホテルの顧客をダイレクトに騙すという、多段階のアプローチで構成されている。
Continue reading “Booking.com を狙うフィッシング:ホテルのアカウント侵害から個人アカウントの侵害へ”Cyberattackers Exploit Google Sheets for Malware Control in Likely Espionage Campaign
2024/08/30 TheHackerNews — Google Sheets を Command and Control (C2) メカニズムとして悪用する、新しいマルウェア・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、Proofpoint により検出された活動は、2024年8月5日から始まり、世界中の 70 を超える組織を標的にしているようだ。具体的に言うと、ヨーロッパ/アジア/米国における税務当局になりすまし、情報を収集して追加のペイロードを配信するために、Voldemort と呼ばれる独自のツールを使っている。
Continue reading “Google Sheets を悪用するマルウェア:基本的な技術/機能による巧妙な手口とは?”North Korean Hackers Launch New Wave of npm Package Attacks
2024/08/29 InfoSecurity — 北朝鮮に関連する脅威グループが関与する悪意のアクティビティが、最近になって急増していることがサイバー・セキュリティ研究者によって特定された。それにより明らかになったのは、npm エコシステムを標的とする組織的なキャンペーンの存在である。この、2024年8月12日に始まったキャンペーンは、開発者たちの環境に侵入して、機密データを盗むように設計された悪意の npm パッケージを公開するものである。
Continue reading “npm へ攻撃:難読化された悪意のパッケージを展開する北朝鮮の脅威グループ”Mirai Botnet Exploits Zero-Day Vulnerability CVE-2024-7029 in AVTECH IP Cameras
2024/08/28 SecurityOnline — 先日に発見された AVTECH IP カメラのゼロデイ脆弱性 CVE-2024-7029 を悪用する、Mirai ボットネット・キャンペーンが広まっていると、Akamai の Security Intelligence Response Team (SIRT) が報告している。このリモート・コード実行の脆弱性が、”Corona” と呼ばれる Mirai 亜種の拡散に悪用されており、重要インフラのセキュリティに、重大な懸念を引き起こしている。
Continue reading “AVTECH IP Camera の脆弱性 CVE-2024-7029:PoC の提供と Mirai 亜種の拡散”CTEM in the Spotlight: How Gartner’s New Categories Help to Manage Exposures
2024/08/27 TheHackerNews — 2024年の SecOps において、最新かつ最高のものを知りたいだろうか? 先日に Gartner が発表した Hype Cycle for Security Operations 2024 レポートには、Continuous Threat Exposure Management (CTEM) のドメインを整理して成熟させるための、重要なステップが踏まれている。今年のレポートには、このドメイン内の3つのカテゴリ Threat Exposure Management (TEM)/Exposure Assessment Platforms (EAP)/Adversarial Exposure Validation (AEV) が取り込まれている。
Continue reading “CTEM への注目:新たなカテゴリがセキュリティを支援する – Gartner”SonicWall Warns: New Malware Targets Gmail
2024/08/27 SecurityOnline — Gmail アカウントを標的とする、コンパイル済みの AutoIT 実行ファイルが、SonicWall Capture Labs の脅威リサーチ・チームにより発見された。このマルウェアは、元々 “File.exe” と命名されており、各種の手口を用いてユーザー・アカウントを侵害するものである。具体的には、クリップボード・データの読み取り/キー入力のキャプチャ/マウス・イベントの取得などを行うとされる。
Continue reading “Gmail を狙う新たなマルウェア:MalAgent.AutoITBot を SonicWall が発見”BlackByte Ransomware group targets recently patched VMware ESXi flaw CVE-2024-37085
2024/08/27 SecurityAffairs — 先日にパッチが適用されたVMware ESXi の認証バイパスの脆弱性 CVE-2024-37085 (CVSS:6.8) を、BlackByte ランサムウェア・グループが悪用していることを、Cisco Talos が確認した。以前にも複数のランサムウェア・グループが、この脆弱性を悪用していることが確認されている。この7月末には Microsoft が、「複数のランサムウェア・オペレーターが VMware ESXi の脆弱性を悪用し、ドメイン結合された ESXi ハイパーバイザーの完全な管理者権限を取得している状況を、研究者たちが発見した」と警告を発している。
Continue reading “VMware ESXi の脆弱性 CVE-2024-37085:BlackByte ランサムウェアによる悪用を確認”Cryptojacking Campaign Exploits Atlassian Confluence CVE-2023-22527 Vulnerability
2024/08/27 SecurityOnline — Atlassian Confluence Data Center/Server の深刻な脆弱性 CVE-2023-22527 を悪用する、広範なクリプトジャッキング・キャンペーンが Trend Micro により発見された。この脆弱性の悪用に成功した攻撃者は、暗号通貨マイニング・マルウェアをインストールして、コンピューティング・リソースを乗っ取ることで、不正な利益を上げている。
Continue reading “Atlassian Confluence の脆弱性 CVE-2023-22527 を悪用:広範なクリプトジャッキングが発覚”Hackers Use Rare Stealth Techniques to Down Asian Military, Gov’t Orgs
2024/08/27 DarkReading — 東南アジアで進行中の攻撃では、政府の高官組織を感染させるために、ほとんど知られていない2つのステルス技術が使用されている。1つ目の “GrimResource” は、Microsoft Management Console (MMC) で攻撃者が任意のコードを実行できるようにするという、新しいテクニックである。2つ目の “AppDomainManager Injection” は、悪意の DLL を使用するものだが、従来のサイドローディングよりも簡単な方法となる。この手法は7年前から存在しており、イランや中国の脅威アクターや、オープン ソース・コミュニティにおける侵入テスト担当者などに使用されている。ただし、悪意を持った攻撃で実際に見られることは稀であるという。
Continue reading “東南アジアで新たなステルス・テクニック:台湾/フィリピン/ベトナムなどの政府機関に被害 – NTT”Hacking the Hacker: Researcher Found Critical Flaw (CVE-2024-45163) in Mirai Botnet
2024/08/25 SecurityOnline — 2016年以降において IoT とサーバの環境を悩ませてきた、悪名高いマルウェア Mirai ボットネット内に深刻な脆弱性が存在することを、セキュリティ研究者である Jacob Masse が明らかにした。この脆弱性 CVE-2024-45163 (CVSS 9.1) を活用することで、Mirai ボットネットの C2 サーバに対するリモート・サービス拒否 (DoS) 攻撃が可能になり、その運用が麻痺させる可能性が生じている。
Continue reading “ハッカーを逆ハッキング:Mirai Botnet の脆弱性 CVE-2024-45163 を活用する PoC が登場!”Cyberattack on Magento: Hackers Inject Skimmer, Card Data Stolen
2024/08/25 SecurityOnline — 最近のことだが、Magento プラットフォームを利用する、多数のオンライン・ストアに対するサイバー攻撃が発生している。この攻撃では、サイトにスキマーが挿入され、カード番号/有効期限/CVV/CVC コードといった、顧客の支払いカード・データが盗まれている。それを受けて、Malwarebytes の専門家たちが、ハッカーによる情報窃取の方法について詳述している。
Continue reading “Magento コマース・サイトへのスキマー注入:データ入力の瞬間にデータを傍受する手口とは?”Stealthy ‘sedexp’ Linux malware evaded detection for two years
2024/08/24 BleepingComputer — ステルス性の Linux マルウェアである sedexp は、現時点では MITRE ATT&CK フレームワークに取り込まれていない永続化技術を使用して、2022 年から検出を逃れているという。このマルウェアのオペレーターは、リモート・アクセス用のリバース・シェルを作成して攻撃を続行できるという。このマルウェアを発見した、Aon Insurance 傘下のリスク管理会社 Stroz Friedberg は、「この記事の執筆時点では、sedexp が使用する永続化技術 (udev ルール) は 、MITRE ATT&CK では文書化されていない」と指摘している。つまり、sedexp は平凡な場所に隠れているが、高度な脅威であることが強調されている。
Continue reading ““sedexp” はステルス性の Linux マルウェア:2年間にわたり検出を回避してきた”Greasy Opal’s CAPTCHA solver still serving cybercrime after 16 years
2024/08/23 BleepingComputer — Greasy Opal という開発者が、研究者たちに追跡されている。この開発者は、一見すると合法的なビジネスを運営しているが、CAPTCHA を大規模に解決するボット主導のツールにより、アカウント・セキュリティ・ソリューションの回避を提供することで、サイバー犯罪業界を活性化させているという。Greasy Opal は 20 年近く活動しており、顧客のターゲットやニーズの設定に基づくツールをカスタマイズしている。それらのソフトウェアは、各国の政府や多様なテクノロジー企業 (Amazon/Apple/Steam/Joomla/Facebook/WhatsApp/Vkontakte) などをターゲットにするために使用されている。
Continue reading “CAPTCHA 破りを提供し続けて 16年:Greasy Opal という悪意の開発者を追跡せよ!”Qilin ransomware steals credentials stored in Google Chrome
2024/08/23 SecurityAffairs — Qilin ランサムウェアによる攻撃を、Sophos の研究者たちが調査した。この攻撃では、侵害した少数のエンドポイントの Google Chrome ブラウザから、ランサムウェアのオペレーターが認証情報を盗み出している。認証情報の収集活動については、通常のランサムウェア感染とは無関係であると、専門家たちは指摘している。
Continue reading “Qilin ランサムウェアの不可思議な行動:攻撃前に Google Chrome の認証情報を盗み出す”OpenCTI: Open-source cyber threat intelligence platform
2024/08/21 HelpNetSecurity — OpenCTI とはオープンソースとして設計された、CTI (cyber threat intelligence) のデータと観測値を管理するためのプラットフォームである。このプラットフォームは Filigran により開発されたものであり、STIX2 標準に基づいて構築されたナレッジ・スキーマを用いてデータを構造化していく。
Continue reading “OpenCTI は OSS の脅威インテリジェンス・プラットフォーム:既存の関係から新たな関係を推論”
IoT OT Security News 
You must be logged in to post a comment.